Update: NZZ-Erpresser veröffentlichen Datenpaket
Die kriminelle Hackerbande Play hat erste NZZ- und CH-Media-Daten veröffentlicht. Die Cyberkriminellen hatten die Daten nach einem Ransomware-Angriff erbeutet.
Update vom 03.05.2023: Die Ransomware-Bande Play hat Teile ihres von der NZZ und CH Media erbeuteten Datenpakets veröffentlicht. Die Gruppe hatte die Frist zur Veröffentlichung der Daten zunächst mehrfach aufgeschoben (siehe unten). Doch nun stellte die kriminelle Hackerbande 5 Gigabyte an Daten ins Darkweb. Sollte eine Reaktion vonseiten der Medienunternehmen ausbleiben, so die Drohung der Erpresser, würde auf der Leak-Seite das komplette Datenpaket onlinegestellt.
Der Eintrag zu CH Media / NZZ auf der Leak-Seite von Play. (Source: Screenshot Netzmedien)
Das Datenpaket beinhalte "private und persönliche vertrauliche Daten, Projekte, Lohnbuchhaltung, Mitarbeiterdaten etc.". Eine detaillierte Analyse der Daten steht noch aus. Gemäss der von den Cyberkriminellen genutzten Filesharing-Plattform wurden die Archive bereits am 24.4.23 hochgeladen, also zum Zeitpunkt der ursprünglichen Deadline der Erpresser.
Die von Play veröffentlichten Archivdateien. (Source: zVg)
Update vom 25.04.2023: Beim Ransomware-Angriff auf die IT-Systeme der NZZ sind wohl doch mehr Daten abgeflossen als vermutet. "Die Ermittlungen haben inzwischen ergeben, dass die Angreifer mehr Daten gestohlen haben, als zunächst angenommen. Darunter sind vermutlich auch vertrauliche Daten", zitiert der "Blick" aus einem Schreiben von NZZ-CEO Felix Graf an dessen Belegschaft.
Die Ransomware-Gruppe Play, die sich zu dem Angriff bekannt hat, will dabei folgende Informationen abgegriffen haben:
- Private und persönliche vertrauliche Daten
- Projekte
- Lohnlisten
- Mitarbeiterinformationen
Ursprünglich hatte die Bande angekündigt, ihr Diebesgut am 24. April, also einen Monat nach dem Angriff, veröffentlichen zu wollen. Am Montag landeten jedoch noch keine Daten im Darknet. Nun scheinen die Hacker das Datum für den Upload verschoben zu haben, wie mehrere Quellen berichten. Gemäss dem "Blick" legte Play die Deadline auf heute Dienstag, den 25. April. Der "Tagesanzeiger" schreibt hingegen von einem "Publikationstermin" am Freitag, dem 28. April.
Die NZZ hält ihre Angestellten dringlich dazu an, selbst keine Daten aus dem Darknet herunterzuladen, wie der "Blick" zitiert: "Die Gefahr ist gross, dass Schadsoftware und andere Viren heruntergeladen werden und die Aufbauarbeit der letzten Wochen gefährdet oder sogar zerstört wird."
Noch ist unklar, ob die Angreifer die gestohlenen Daten tatsächlich online stellen oder ob die NZZ vor Ablauf der Frist das geforderte Lösegeld überweisen wird. Auch die Höhe der Forderung ist noch unbekannt.
Update vom 21.04.2023: CH-Media-Zeitungen erscheinen nach Cyberangriff wieder regulär
CH Media kann knapp vier Wochen nach einem Ransomware-Angriff auf seine IT-Systeme wieder regulär produzieren. In den Regionen Zentralschweiz, Nordwestschweiz und Ostschweiz erschienen wieder 16 lokal gesplittete Zeitungen, anstatt drei Einheitszeitungen. Die Instandstellungsarbeiten seien inzwischen so weit fortgeschritten, wie "persoenlich.com" berichtet.
Die Hintergründe des Cyberangriff bleiben offen. Die NZZ, welche für CH Media einen grossen Teil der IT bereitstellt und über deren Systeme die Ransomware eintrat (siehe unten), mache "aufgrund der rollenden Entwicklung" keine weiteren Angaben zum Vorfall. Ob es doch noch zur Veröffentlichung der abgeflossenen Daten durch die Bande hinter der Angriff kommt, bleibt abzuwarten.
Update vom 18.04.2023: Cyberkriminelle drohen mit Veröffentlichung privater NZZ-Daten
Beim Cyberangriff auf die NZZ ist es zu einem Datenabfluss gekommen. Laut einem Bericht des Portals "Inside-IT" bekennt sich die Ransomware-Gruppe Play im Darknet zum Angriff und droht damit, die ergaunerten Daten zu veröffentlichen. Darunter sollen sich unter anderem Gehaltslisten, Projekte sowie persönliche und private Daten befinden. In ihrer Verlautbarung gibt die Hackergruppe ihren Opfern ein Ultimatum bis zum 24. April.
Gegenüber Inside-IT bestätigen sowohl die NZZ als auch der beim Angriff ebenfalls in Mitleidenschaft gezogene Verlag CH Media den Datenklau. Dabei schreiben die Medienhäuser von einem "kleinen Datenabfluss" respektive von einer "geringen Menge an Datenabfluss" und fügen an, dass der Vorfall aktuell untersucht werde. Ob eine Lösegeldforderung vorliegt, bestätigen die beiden Unternehmen nicht, sondern verweisen auf die noch laufenden Ermittlungen.
Update vom 03.04.2023: CH Media kämpft noch immer mit IT-Systemen
Das Medienhaus CH Media kämpft weiter mit den Folgen einer Cyberangriffs. Die Ermittlungen zum Ursprung der Attacke dauern an, wie CH Media Verleger Peter Wanner im Interview mit seinen eigenen Zeitungen sagt. Zwar habe man viel in Cybersecurity investiert, doch der Angriff habe gezeigt: "Es gibt keinen hundertprozentigen Schutz."
Publizistisch müsse man sich nicht einschränken. Auf den Apps und Webseiten seien alle Inhalte verfügbar. Probleme bestehen weiterhin bei den Printausgaben der Zeitungen, hauptsächlich im Lokalteil.
So gehören zu CH Media etwa die Luzerner, Nidwaldner, Obwaldner, Urner und Zuger Zeitung. Statt separaten Regionalteilen für diese 5 Kantone produziere man derzeit nur einen für die Zentralschweiz. Dazu kommen regionale Splits für die Ostschweiz, den Aargau und das Limmattal sowie die Region Basel-Solothurn. Regulär produziere man 16 solcher Splitausgaben.
Noch sei unklar, wann genau der Schaden behoben werden könne. Wanner hält sich mit Details zur Attacke zurück: "Verraten wir zu viel, spielen wir damit nur den Angreifern in die Hände." Von einer Lösegeldforderung wisse Wanner derzeit nichts.
Eigene IT bis 2024
Dass primär die Regionalmedien betroffen sind (CH Media Regionalmedien AG) liegt laut einem Bericht des Branchenmagazins "persoenlich.com" vor allem daran, dass die betroffenen Medien bis 2017 den NZZ-Regionalmedien gehörten und weiterhin auf den IT-Systemen der "NZZ" laufen. Eigentlich habe der Ransomwareangriff der NZZ gegolten, heisst es im Bericht.
Derzeit arbeite CH Media daran, bei der IT "eigenständig und unabhängig" zu werden, wie Wanner im Interview weiter ausführt. Es laufe derzeit ein grosses internes Projekt, welches bis 2024 abgeschlossen werden soll.
Update vom 24.3.2023 – Nachmittag: CH Media und NZZ von Ransomwareangriff betroffen
Die IT-Ausfälle bei CH Media haben ihren Ursprung offenbar bei der NZZ. Laut dem "Blick" greift CH Media auf gewisse IT-Teile der NZZ zurück. Die NZZ wiederum teilt mit, der Angriff wurde frühzeitig erkannt und isoliert. Laut dem Blick wies CH Media derweil insbesondere die Angestellten der Redaktionen in der Ostschweiz an, die dortigen Computer aus Sicherheitsgründen nicht zu benutzen und stattdessen auf andere Redaktionen auszuweichen oder von Zuhause aus mit privaten Geräten zu arbeiten. Offenbar sei auch die Zeitungsproduktion tangiert.
Originalmeldung vom 24.3.2023 – Vormittag: Ransomware legt interne Kommunikation von CH Media lahm
CH Media ist ins Visier bösartiger Hacker geraten. Laut einer E-Mail des Medienhauses an seine Mitarbeitenden, die der Redaktion vorliegt, kam es zu einem Ransomware-Angriff.
Auf Anfrage bestätigt eine Unternehmenssprecherin den Cyberangriff. Aktuell arbeitet das Unternehmen "zusammen mit der NZZ IT und externen Partnern an der Analyse der Ursache", wie es in der Mail heisst. Von den Ausfällen betroffen ist laut der Auskunftsperson das Intranet des Unternehmens, also etwa Message Boards und andere interne Kommunikationskanäle. Den Angestellten schreibt CH Media, die Lage bleibe voraussichtlich den ganzen Tag über unberechenbar.
Wie "Persoenlich.com" berichtet, musste heute der zu CH Media gehörende Ostschweizer Privatsender FM1 wegen technischer Probleme kurzfristig seine Produktion umstellen: Anstatt aus St. Gallen sendete FM1 sein Programm aus Zürich. Die CH-Media-Sprecherin sagt auf Anfrage, man könne einen Zusammenhang zwischen diesen Störungen und dem Cyberangriff aktuell nicht bestätigen und verweist erneut auf die noch laufenden Untersuchungen. Die Frage, ob CH Media von Cyberkriminellen erpresst werde, verneinte das Unternehmen.
Im November 2022 wurde auch der Schweizer Hosting-Provider Infopro Opfer eines Cyberangriffs. Dabei gelang es den Cyberkriminellen, Daten abzugreifen und Infopro zu erpressen, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Gil Shwed über Rücktritt, Cybercrime und KI
Bitdefender startet Förderprogramm für Start-ups
Protonmail lanciert Dark Web Monitoring
Gobugfree lanciert kostenloses VDP
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
Update: Cloud-Anbieter nach Ransomware-Angriff Konkurs
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Update: Fast 34 Millionen Roblox-Zugangsdaten landen im Darknet
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
